セキュリティ担当者のホームオフィスを保護する:どうすればよいですか?
私は最新のInfoSecurity誌(Elsevierによるinfosecのトレードラグ)の記事を読みました。私たちのセキュリティ専門家は、自分のホームオフィスネットワークとコンピューターを保護するために必ずしも正しい手順を実行しているわけではないということです。現在、自分のホームオフィス以外の場所で業務を行うセキュリティコンサルタントとして、ホームオフィスをどのように保護するかについてお伺いします。何をすべきか?
例として自分の環境を使用して、私は クライアントのソースコードを保護する (私はアプリのセキュリティにいます)に非常に長く取り組んでいます。また、ルーターでWPA2を使用し、ネットワークスニッフィングを回避するためにパスワードを頻繁に変更しています。各コンピューターにファイアウォールがありますが、ログを頻繁に確認しない可能性があります...ローカルとオフサイトの両方にバックアップがあります。そしてもちろん、ハードウェア自体も保証されています。
それで、私は何を逃したのですか?あなたならどうしますか?あなたは何をしませんか?もちろん、私にはたった一人しかいないので、ポリシーはそれほど良い解決策ではありません。私は彼を解雇するつもりはありません;-)
3、4年前のフィナンシャル・タイムズでこれについて少し記事を書いたが、見出しの記事以上のものは見つからなかった。とにかく、私が説教することを練習する傾向があるので、私は家をリスクで分離されたネットワークでセットアップしました-
- インターネットにのみ接続する2つのネットワークを持つ1つのワイヤレスルーターがあります。 A DMZこれは、私の子供がニンテンドーDSをオンラインで使用するためにWEPを使用するだけで、もう1つは私のローカルコミュニティの無料ワイヤレス用です。
- 別のルーターが安全なWPA2ネットワークをホストしている(主に私のPlayStation 3用)
- 有線ネットワークの場合、私は家族のために構築したVMを使用して接続する家族の残りのための低感度ネットワークと、私の研究および非クライアント活動のほとんどのための高感度ネットワークを持っています。
- クライアントのセキュリティテスト作業のために、強力な多要素認証を必要とするより高いセキュリティサブネットを持っています
プラットフォームの場合、最も簡単なのは、クライアントのテストに強化ビルドを使用することです。これは、テストとレポートの完了後に分解できます。ビルドにはBIOSパスワードと完全なディスク暗号化があります。私のすべてのネットワーク上のすべてのマシンとサーバーにもファイアウォールとウイルス対策があり、ベンダーのガイダンスに従って最新のパッチが適用されています。
自宅で作業するセキュリティ担当者がいる場合、現場でキットを監査するのが難しい場合があります。これは、キットのリスクを管理する上で問題になる可能性があります。キットを物理的に所有し、事実上監視されていないため、通常、ここには多くのソリューションはありません。それらを信頼するために必要な量を理解し、契約が適切であることを確認し、必要に応じてログを構成します。
私はあなたが物理的なセキュリティを必要とすることに同意します-ドア、金庫、コンピュータテザーだけでなく、紙のドキュメントとアーカイブ/バックアップについても。
バックアップと保険は不可欠です!私の家に飛行機が着陸した場合、爆風範囲内にある可能性が非常に低いサイトで暗号化されたバックアップを使用します(起こりえます-私はエディンバラ空港へのアプローチからわずか数マイルです)
ソースコードセキュリティ
ただし、設定によっては、これが可能である場合とできない場合があります。
私はすべてのクライアントのソースコードをリムーバブルメディアに保存します。リムーバブルメディアは常に使用されておらず、安全に保管されています。これにより、クライアントのソースコードを公開しているPCの物理的な盗難を防ぎ、リモートの攻撃者がそのソースコードにアクセスできないようにします。
アプリケーションのリリースが完了したら、物理コピーを破棄します(持っていない場合、盗むことはできません)。
情報セキュリティ/完全性
セキュリティを担当するのはホームオフィスだけではないことに注意してください。生成/配信する情報は、攻撃者にとって(それ以上ではないにしても)同じくらい貴重です。
脆弱性レポートの管理チェーンを実装します。このようにして、開発スタッフの秘書からクライアント企業のCEOまで、データにアクセスしたすべての人のドキュメントがあります。妥協の可能性を減らすため、可能な限りすべてのレポートを手渡します。
その他
- ホームオフィスで私がやりたい小さなもう1つのヒントは、ワイヤレスルーターでSSIDブロードキャストをオフにすることです。この単一の(そして単純な)タスクは、ほとんどの人が覗き見するのを思いとどまらせます。
物理的なセキュリティはどうですか?
- 暗号化されたハードドライブ(すべてのシステムのすべてのドライブにわたって)
- オンサイトでもオフでも、バックアップ用の耐火金庫
- ドアの適切なロック
- 独自のセキュリティ計画を毎年作成して実践します。
侵入検知、監視などに関する多くの優れた情報が表示されますが、指定された時間に確認および実施できる本格的なセキュリティ計画に勝るものはありません。 USB HDがクライアントデータでクラッシュした場合、どうすればいいですか?すぐにクライアントのデータを利用できますか?頭の中で「はい」と言いましたが、HDのプラグを抜いて、データがなくなって、電話が鳴ったら、クライアントはすぐにデータを送信したいと考えています。ローカルデータが危険にさらされた場合、それを検出できるだけでなく、それに反応して、さらにその上でデータを回復できますか?データを回復できなかった場合、それをカバーするためにクライアントでどのような手順が取られていますか?
- 環境で侵入テストを実行する会社を雇います。
「何を保護する必要があるか」、WEP、データなどに関する多くの憶測が見られます。セキュリティに関しては、「ショットガンアプローチ」を使用するよりも悪いことはありません。ちょっとふりをして、あなたはあなた自身のクライアントです、あなたはあなたにどんなオプションをやりたいですか?セキュリティで保護する必要があるものを推測したり、セキュリティで保護する必要があるものを確実に知ることができます。 25の偽のSSIDと上記のすべての話を作成することができますが、気づいておらず、対処していない脆弱性がある場合、それは何の役にも立ちません。あなたがその分野の専門家であるとしても、これがあなたのビジネスでありあなたの収入であるとしても、誰かにあなたの仕事を「再確認」させても害はありません!
私は今小説を停止します...私の謝罪。
データセキュリティには2つの部分があります。
- 「彼ら」を締め出す
- いつ失敗したかを検出する
ネットワークの詳細を知らなくても、それらを締め出すために、あなたのステップは合理的であると思われます。それ自体は推奨ではありません。いつでももっと多くのことができます。合理的なセキュリティから偏執狂に移行するポイントがあります(その後、さらに進んでTSAになります)。
「それら」を締め出すのに失敗した場所を検出するには、ある種のホスト侵入監視が必要です。銃尾の証拠をスキャンして確実に報告できるものが必要です。それを確実に報告することが重要です。信号対雑音比のバランスをとる必要があります。アラートが多すぎると、無視されます。数が少なすぎると、尾骨を検出できません。
ブロック内の私のWiFiホットスポット(httpレベルでのウイルスインジェクションが読み込まれます)は、攻撃者のPCを殺し、実行可能なpr0nを表示するため、彼は注意を失います(女性も)、彼が私のCCTVシステムに来たら、私は貧しい男の写真をGFに渡します。
すべてのラップトップは、Webプロキシおよびチャットへのリモートアクセス用のSSHトンネルにあります(irc、Jabber、画面ありがとうございます!)。基本的に、それ以外には何も必要ありません。また、さまざまなOS、画面解像度などの使用に関する詳細をウェブサイトに提供したくありません。少なくとも、ワークスペースは常に、RDP over SSHおよびターミナルからアクセス可能な仮想マシンにあります。
追伸単一の家屋を複数のネットワークで識別するという考えは嫌いです。それは、バーに来てバリスタの代わりにセキュリティにお金を払ったり、警察署でOSを再インストールしながらレゲエや喫煙を聞いたりするようなものです。代わりに、攻撃の可能性を検出するために、多数のネットワークと偽のIDをブロードキャストします。